OpenLDAP+Samba
Moteus 19 сентября, 2009 - 10:32
Добрый день!
Хочу поднять домен на LDAP+Samba, делаю все по мануалу: http://ru.gentoo-wiki.com/wiki/Samba_%D0%B2_%D1%80%D0%B5%D0%B6%D0%B8%D0%BC%D0%B5_PDC_%D1%81_%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%D0%BC_LDAP . Конфиг такой же как и в мануале...
На стадии инициализации каталога самбы в LDAP выдает ошибку:
Цитата:
# smbldap-populate -a Administrator -k 0 -m 0
Populating LDAP directory for domain DOMSMB
(using builtin directory structure)erreur LDAP: Can't contact master ldap server for writing (IO::Socket::INET: connect: Connection refused) at /usr/sbin//smbldap_tools.pm line 277
Я так понял что он не может подключиться к серверу LDAP:
Цитата:
/etc/init.d/slapd start
*Starting ldap-server ... [!!]
Я понял, что как раз из-за этого и не инициализируется каталог... только вот как заставить ldap писать логи?
»
Запустите slapd руками с
Запустите slapd руками с дебаг флагом и чтобы он не отцеплялся от консоли. Лежит он, емнип, в
/usr/libexec/openldap/slapdАрхивредный совет
Ты никогда не пробовал читать логи OpenLDAP (2.3)?
Даже не в
debug...Категорически рекомендую :)))
:wq
--
Live free or die
Да, но он же не стартует =)
Да, но он же не стартует =) Мой опыт начального общения с опенлдапом показал, что это, в большинстве случаем, из-за косяков с конфигом. В таких случаях он иногда не успевает написать логи, емнип. А так да, логи у него (особенно на All), черезвычайно подробные
.
С учётом описанного в статье меня это... не то, чтобы сильно удивляет.
Альтернативные варианты (почему ещё
slapdможет не подняться на этапе начальной установки)?Примеры в студию!
Моя практика и здравый смысл пасуют перед таким предположением.
До того, что [под сколько-нибудь серьёзной нагрузкой] дают существенную нагрузку на диск.
:wq
--
Live free or die
.
Знаешь в чём твоя ошибка?
Ты пытаешься следовать статье (неопределённой степени качества, к чему мы ещё вернёмся) не поверив её (хотя бы самостоятельно) на полноту и непротиворечивость.
Авторы статьи замахнулись на не только нетривиальный, но просто нерешаемый случай.
Не обладая достаточными знаниями для отработки куда более простых ситуаций.
Мой личный опыт говорит, что
smbldap-tools(особенно без понимания что должно быть сделано) --- суть зло.Но отдельные товарищи (типа Lautre) с этим категорически несогласны (вплоть до просьб сочувствующим администраторам удалить неудобные вопросы).
За это им стоит разрушить мозг (в смысле заставить на практике показать правильности пересказа рекламных тезисов).
Не [столько] в логах дело.
Я в текущей действительности вообще отключил логирование OpenLDAP'а.
А в понимании.
Краткий (и неполный) перечень пропусков авторов статьи:
1. Для нормальной работы помимо пользователя
sambaдолжен существовать аналогичный системный (POSIX) пользователь. С точки зрения управления базой пользователей имеет смысл переделать системную авторизацию на OpenLDAP (статья на оф. сайте);2. Согласование системных утилит управления пользователями с OpenLDAP --- совершенно отдельная задача!
Поэтому тебе категорически показаны:
2.1. GUI LDAP Client (я остановил свой выбор на phpldapadmin, но есть варианты), который правда не освобождает от владения стандартными консольными (
ldapsearch,ldapmodify,slapcat,slapadd);2.2 Понимание того, что создание/индексация/заполнение базы OpenLDAP --- отдельная задача!
3. LDAP-сервер может быть не только локальным!
И вообще, в первую очередь: ЗАЧЕМ тебе нужен LDAP?!?
ЗЫ: В понедельник ищи меня в конференции (и/или просто в Jabber'е). Хотя тема очевидно по-хорошему должна быть раскрыта и в форуме.
:wq
--
Live free or die
Всем спасибо за ответы. Этой
Всем спасибо за ответы. Этой статьей я воспользовался, потому что довольно подробно была описана настройка серверов. А LDAP я выбрал лишь потому что опять же в данной статье было описано добавление пользователей в домен. К сожалению других статей, в которых было описано подключение пользователей к домену я не нашел(возможно плохо искал...)
.
Из "подробно" никоим образом не следует ни работоспособности (сейчас), ни соответствия конфигурации твоим представлениям о правильности (особенно если ты имеешь дурную привычку отягчать мозг собственным мнением).
Да. Без LDAP'а оно выглядит куда грустнее.
Забег впереди паравоза (в туннеле) ни к чему хорошему обычно не ведёт.
Тебе следовало бы сначала разобраться с переводом системной авторизации на OpenLDAP, потом с задачей навешивания на этот LDAP-сервер Samba'ы, наконец --- перевода Samba'ы в режим PDC и только после этого смотреть вопрос подключения пользователей к домену.
ЗЫ: Официальные доки проекта Samba чем не устраивают?
:wq
--
Live free or die
В качестве GUI очень хорош
В качестве GUI очень хорош еще
Apache LDAP Studioдляeclipse.Настроил Samba, вначале
Настроил Samba, вначале получилось его запустить без ошибок, но когда я попробовал добавить сервер в домен выдал ошибку
Попробовал перезапустить сервер но выдал ошибку.
Логи http://paste.org.ru/?f4f6fl
Конфиг http://paste.org.ru/?vmme68
Подскажите плз что не так?
Я же говорил...
что ошибка в ДНК.
Samba-сервер --- это последний этап.
С LDAP'ом и структурой пользователей уже разобрался? Всё работает?
В необходимостии работоспособности
smbldap-toolsуверен?ЗЫ: Сам с оффтопичными доменами не работал (и не горю желанием восполнять сей пробел), но что-то мне подсказывает, что
securityтам предполагается неuser...:wq
--
Live free or die
По поводу ДНК вы что имеете в
По поводу ДНК вы что имеете в виду? Со структурой пользователей разобрался, работает(по крайней мере во время первого запуска), на сам ldap забил, для запуска потребовалась лишь библиотека lib_ldap.so. По поводу необходимости smbldap-tools не уверен, ибо снес и первый запуск был удачным(почему сервер упал не понятно), если бы была в нем необходимость, я бы не запустил сервер первый раз и не добавил группы пользователей в домен и администраторский профиль в базу.
З.Ы. нашел у себя в доках старый мануал под слаку, по нему и ставил.
.
Положения/допущения, на которых всё основывается. И степень их формулированности.
Степень согласуемости напластований.
"Работает" --- это несколько больше, чем просто запустившийся демон.
???
Интересненько...
Зря ты так.
Дык он нужен (декларируется) для совсем другого...
А логин потом как? Тоже работает?
Доку в студию (наверное лучше в каком-нибудь блого-сервисе)!
:wq
--
Live free or die
Ув. Anarchist ,я уже раз 5-й
Ув. Anarchist ,я уже раз 5-й слышу о том . что та статья неправильная, что тулсы тоже не то, что ... С OpenLDAP у меня знакомство фрагментарное, поэтому, пожалуйста, хоть один раз можешь ли ты четко, конкретно и внятно объяснить: а) что неправильно в статье,б) почему smblapd-tools УГ, и д) почему у Lautre оно работает. Вот такие ньюбовские вопросы.
Спасибо за понимание
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Товарищ Анархист несколько
Товарищ Анархист несколько категоричен.
smbldap-tools — не УГ, но пару неприятных особенностей, с которыми я столкнулся, он имеет. Подробности тут.
Когда я делал себе в организации этот т.н. домен статье из вики, то всё было не так шоколадно, как расписывается. Но в конце-концов трудности были преодолены. Однако, в другой раз я бы такое делать снова не стал бы.
нифигасе, моя всегда думала,
нифигасе, моя всегда думала, что в лдапе все в base64 как минимум.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Смотри внимательней: не в
Смотри внимательней: не в LDAP, а в схеме и в утилитах, работающих с этим всем.
.
А самому подумать?..
Начну с пункта "д": из утверждений о том, что работает не следует предсказуемо воспроизводимого факта работоспособности.
Потом пункт "б": ярлычок типа "УГ" --- додумывание за оппонента глупостей? Вопрос был в первую очередь: где, почему и насколько оно нужно (при администрировании домена средствами виндовса --- может быть и необходимо)?
По первому же пункту --- вопрос не (с)только по OpenLDAP. Мои знания Самбы конечно весьма ограничены. Но даже с ними можно набросать список неоднозначностей. Один замах на сопряжение с 2003-м сервером чего стоит...
Так вот:
Начинать следовало с краткого описания предмета (Window$-сети: какие варианты доступа существуют и какова их область применимости, что такое "домен", где и на фига он нужен?).
Что такое Samba и как она работает (в первую очередь про различия и взаимоотношения сущностей системный/posix и samba пользователи)?
Далее краткий экскурс по части механизмов авторизации: где/чем выгоден LDAP и чем за эти удобства заплачено. С уже упоминавшейся мной ссылкой на разработку официального руководства.
На этом общетеоретическая часть заканчивается.
В конкретнотеоретической части необходимо описать смысл использования LDAP'а для базы пользователей в том числе домена (сведение двух баз пользователей в одну).
После чего можно переходить к практике (отдельно оговорив, что база OpenLDAP может жить как локально, так и на выделенном сервере).
Список устанавливаемых пакетов мягко говоря фееричен: согласно здравому смыслу достаточно собственно samba + задания соответствующей конфигурации OpenLDAP. + отсутствие каких-либо упоминаний что/зачем нужно (типа сокровенное знание?).
Более фееричен разве что слушающий 389-й порт почтовый сервер.
Тот же здравый смысл подсказывает, что копирование примера конфигурационного файла в рабочий не всегда... оптимально и/или достаточно.
Миграция тоже жжот:
slapcatотменён?Исходно необходимая модификация механизма системной авторизации после описания настройки Samba --- песня (как и следующий из начала статьи тезис о совместимости базы пользователей Gentoo и Window$ 2003).
Добавление (и удаление, причём вместе с домашним каталогом: ну типические замашки виндовс-админа, они у нас --- люди бесстрашные) системных пользователей (правильным с точки зрения конкретного Unix-админа способом) посредством smbldap-tools...
Это из того, что навскидку и невооружённым взглядом.
:wq
--
Live free or die
ИМХО, статья на вики не
ИМХО, статья на вики не мануал по проектированию гетерогенных сетей и на звание матерьяла уровня RHCA&&MSCA не претендует.
И статья/формат(вики) не для теоретических изысканий. Да, по ней врядли получится AD,
Ну так дополни или напиши возражения
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
/
Это является достаточным основанием для полного забивания на теорию (что, с учётом динамики развития платформы, сводит временОй интервал актуальности материала как бы не к точке)?
Или ты полагаешь, что без теории возможно построение сколько-нибудь сложной/масштабной [и при этом работоспособной] гетерогенной сети?
M$CA не котируется. Ф топку!
RHCA во-первых не является Абсолютной Истиной в последней инстанции, во-вторых, его можно и нужно догнать и перегнать :)
А оно [нам] нужно?
Я не настолько хорошо знаю матчасть [в области Window$-сетей, да и в администрировании
Samba'ы (и не хочу исправлять эту ситуацию)], чтобы исправлять статью.И вообще не то, чтобы считаю правильным формат
wiki. В данном случае бОльшая часть трудёмкости (как бы не 3/4) ложится не на дополнение, а на согласование/проверку написанного.ЗЫ: Может ты выступишь в качестве консультанта по Window$ (в первую очередь с точки зрения раскрытия сути "домена")?
:wq
--
Live free or die
Цитата: ЗЫ: Может ты
Это отдельная психологическая тема, за ее ракрытие сдесь можно и в бан,
Ну очень мало "линуксойдов" ,к сожалению, готовы конструктивно говорить о продуктах M$.
Обычные аргументы: стоимость и "ф топку", дальше разговор не идёт.
Алсо, я никоим образом не спец по винде в целом и AD в частности, мой уровень ( по моей оценке) это виндовый эникей , каким он должен быть.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
.
Т.е. ответа на вопрос "что такое домен (и какие домены бывают, какой функционал и в какой степени реализован в разных версиях/ветках
Samba), где, зачем и насколько он нужен (+ что, где и как можно пересекать с свободной реализацией CIFS в лицеSamba)" мне не светит?С учётом степени моей личной заинтересованности в Samba оно конечно не то, чтобы критично (пофиг)...
Но где здесь "психологичность" --- в упор не вижу.
Что здесь понимается под конструктивностью? Не переходит ли оно в требование подобострастной вежливости?
Обычные мои аргументы:
1. Последние нововведения типа обязательной активации продуктов несколько противоречат интересам как потребителя, так и администратора.
Проблема не (с)только в стоимости, сколько в том как M$ залезает в карман потребителя. И какую ответственность она несёт за ущерб, причинённый ошибками паразитно-вредоносной функциональности честным пользователям.
2. M$ руководствуется задачей извлечения максимума прибыли. Что по определению ведёт в сторону, противоположную интересам [в данном случае] заказчика.
Мне почему-то кажется, что я задаю достаточно банальные вопросы, которые должны бы лежать далеко не только исключительно в сфере компетенции особо обученных/сертифицированных специалистов.
:wq
--
Live free or die
.
заводи тему в общении или серверах, конкретно сформулируй вопрос. Постараюсь ответить
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Anarchist написал(а): но
Насколько я понимаю в этой мешанине ,там IMHO, должен быть domain или ads , ИМХО, в USE самбы тоже нужен use=ads.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
заламинировано
насколько я понимаю, топикстартер проблему решил(если нет - пишите в ЛС модераторам), а товарищ Анархист может бесконечно плодить воздушные замки. Так что во избежание бана некоторых личностей за оффтопик - ламинирую.